KT소액결제 해킹 사고

지난달 26일부터 KT나 KT 알뜰폰 가입자 휴대전화에서 모바일 상품권을 구매하거나 교통카드 결제가 이뤄져 수십만 원이 빠져나가는 사건이 일어나고 있다. 9일엔 경기 부천시에서도 피해가 발생했다는 신고가 5건 추가로 접수됐다. 

정보통신망법은 해킹 등 침해 사고가 발생하면 24시간 이내에 과학기술정보통신부나 한국인터넷진흥원에 신고해야 한다고 규정하고 있지만, KT 신고는 전날 밤에야 이뤄졌다.

민관 합동 조사단은 해커가 불법 초소형 기지국을 설치해 이용자들의 트래픽을 가로챈 것으로 보고 조사를 확대 중이다.

무단 소액결제 범행에 사용된 초소형 기지국은 소규모 셀 또는 '펨토셀'이라고 불리는 기기로 추정된다.

보안 업계에 따르면 가짜 기지국을 만들어 이용자 트래픽을 빼돌리는 기법은 IMSI(가입자 식별 번호) 등 개인정보를 탈취하는 수법으로 알려져 있다. 이 기법의 별칭이 'IMSI 캐처'라고도 불리는 이유다.

 

2025년 여름부터 일부 KT 가입자를 대상으로 본인 인증을 악용한 무단 소액결제(주로 모바일 상품권·교통카드 충전 등) 피해가 발생했고, 정부와 개인정보보호위원회·과기정통부가 중대한 침해사고로 규정하여 조사에 착수했다. KT는 관련 이상 트래픽을 특정 시점에 차단했다고 보고했고, 경찰은 불법 기지국(초소형 기지국)을 이용해 통화·인증 절차를 가로챈 정황으로 수사해 용의자들을 검거했다. 

공격 기법 — 가상(불법) 기지국과 인증전화 가로채기
수사·언론 보도에 따르면 가해자들은 소형·불법 기지국(펨토셀 또는 가상 기지국 장비)을 사용해 표적 단말이 정상 통신사 망 대신 가짜 기지국에 접속하도록 유도했다. 이렇게 되면 이동통신망에서 단말의 이동통신식별정보(IMSI) 등 메타데이터를 얻거나, ARS(자동응답)·SMS 기반 본인확인 전화를 가로채는 방식으로 인증 절차를 우회·악용할 수 있다. 즉, 서비스 업체가 전화번호(또는 인증 전화)로 본인확인을 하면 그 통화·응답을 범죄자가 받아 결제를 승인하는 형태다. 

피해 규모·타임라인(보도 기준)
언론·공식 발표에 따르면 피해 신고는 8월 초부터 접수되기 시작했고(일부 자료는 8월 5일부터 발생), KT가 정부에 침해 사고를 신고한 시점은 9월 8일이다. 피해 가입자 집계는 매체별로 차이가 있으나, 보도시점 기준 피해 고객 수·결제 건수·피해액 등은 수백 건·수천만~1억 원대 수준으로 집계되었다는 보고가 있다(예: 피해자 약 278명·결제 527건·피해액 약 1억 7,000만 원, IMSI 유출 가능성 고객 수 5,561명 등 보도). 이후 경찰은 관련 용의자(외국 국적의 일부 피의자)를 검거했다.

원인 분석(기술·운영적 취약점)

1. 불법 기지국 접속 자체가 가능했다는 점: 소형 장비의 불법 사용·유통과 기지국 탐지의 한계가 문제로 지적된다.
2. 인증 수단의 단일화: 전화·SMS·ARS 같은 ‘통신사 의존형’ 인증만으로 결제·승인이 가능했던 서비스 구조가 공격 표적이 됐다.
3. 이상 징후 감지·초기 대응 지연: 일부 보도는 피해 발생 후 초기 탐지와 정부 신고·차단까지 시간이 걸렸다고 지적한다(운영·모니터링 정책의 보완 필요). 

법적·정책적 파장
개인정보위·과기정통부가 조사에 착수했고, 통신사·플랫폼에 대한 보안·모니터링 의무 강화 요구와 함께 피해 보상·재발방지 대책 마련 요구가 커졌다. 불법 기지국 유통·운영자에 대한 수사 강화, 통신사업자 책임 범위 및 과징금·행정처분 가능성도 논의되고 있다. 

가입자(일반 사용자) 권장 대응·예방 수칙

• 통신사·은행·플랫폼에서 권장하는 2단계 인증(OTP 앱·하드웨어 토큰 등) 사용으로 ‘전화·SMS 인증’ 의존을 줄이기.
• 거래·결제 알림을 즉시 확인하고 의심 결제가 있으면 즉시 통신사·결제사에 신고.
• 휴대폰의 OS·앱을 최신으로 유지하고, 출처 불명 앱 설치 금지.
• 통신사에서 제공하는 부가 보안서비스(안심번호·이상통화 차단 등)가 있다면 활성화 고려.
• 결제한도가 낮고 불필요한 간편결제 수단은 해지하거나 비밀번호·생체인증을 추가. (서비스별 설정 확인 권장)

사업자(통신사·결제사·플랫폼)에 대한 권고

• 기지국 이상 접속 탐지·실시간 모니터링 강화, 비정상 트래픽 자동 차단 룰 개선.
• 전화·SMS 인증 의존을 줄이는 방향으로 인증 수단 다변화(OTP 앱, FIDO2·패스키 등 비대면 인증 기술 도입 확대).
• 피해 발생 시 신속 보상·복구 프로세스와 투명한 공지 체계 마련.
• 불법 기지국 장비 유통·사용 차단을 위한 산·학·경 협력 및 규제 정비.

맺음말
이번 사건은 ‘전화·SMS 기반 인증’의 취약성과 소형 불법 기지국 장비가 결합될 때 발생할 수 있는 위험을 드러냈다. 단기적으로는 피해 보상과 수사·차단이 중요하지만, 근본적으로는 인증 체계의 현대화(비대면 인증 표준 적용), 통신망·기지국 환경의 모니터링 강화, 불법 장비 유통 차단이 필요하다. 이용자·기업·정부가 각자의 역할을 신속히 보완할 때 유사 사고 재발을 줄일 수 있다.